Nach einem Urteil des Europäischen Gerichtshofs (EuGH) ist das sogenannte "Privacy Shield" zwischen der EU und den USA ungültig, da durch US-Gesetze wie der Foreign Intelligence Surveillance Act (FISA) eine Massenüberwachung erlaubt wird. Die Standardvertragsklauseln (SVK), welche US-Konzerne für ihren Datentransfer zusätzlich absichern, werden aus demselben Grund zudem nur formal aufrecht erhalten.

Die Entscheidung der Luxemburger Richter - dass der Grundschutz für EU-Bürger in den Vereinigten Staaten nicht gewahrt ist - muss dabei von den auf SVK setzenden Firmen, wie Amazon, Facebook, Google oder Microsoft, sowie den Datenschutzbehörden in einem zweiten Schritt nachvollzogen werden. Bereits bekannte Überwachungsprogramme, die Daten im großen Stil von Großunternehmen abgreifen, sind - dies hat der EuGH nun deutlich gemacht - nicht auf das zwingend erforderliche Maß beschränkt.

In Zukunft können Standardvertragsklauseln "nicht mehr von Facebook und US-Unternehmen genutzt werden, die unter US-Überwachung stehen" - so Schrems, der eine entsprechende Beschwerde über die Praktiken Facebooks bei der Datenschutzbehörde DPC eingereicht hat. Ausschließlich dann, wenn es kein kollidierendes Recht gebe, sind SVG noch einsetzbar. Die DPC hätte den Beitreiber des sozialen Netzwerks "schon vor Jahren anweisen können, die Datentransfers zu stoppen". Stattdessen soll sich die Behörde jedoch an den EuGH gerichtet haben, um die SVG aufheben zu lassen.

Laut dem europäischen Zentrum für digitale Rechte - Noyb - können dringend notwendige Datentransfers trotz des Urteils gemäß Artikel 49 der DSGVO weiterhin durchgeführt werden. Solche Übertragungen ließen sich auf die jederzeit widerrufbare Einwilligung des Nutzers stützen. Somit würden die USA wieder den Status eines Landes ohne Sonderzugang zu EU-Daten erhalten. Aussagen der DPC zufolge seien Datentransfers in die USA, unabhängig der genutzten Rechtslage, schon nach dem Aus für das Vorgängerabkommen Safe Harbor 2015 problematisch gewesen. So sollen die eigenen Bedenken durch das Urteil nun bestätigt worden sein. Desweiteren erfordere das SVK-Instrument noch eine gründlichere Analyse zur Erarbeitung einer gemeinsamen Position mit den "europäischen Kollegen".

Die komplexe Aufgabe, das Urteil praktisch anzuwenden, liege laut dem Bundesdatenschutzbeauftragten Ulrich Kelber jetzt bei den Unternehmen, der öffentlichen Verwaltung sowie den in ihrer Rolle gestärkten Aufsichtsbehörden. Bei jeder Datenverarbeitung müsse nun überprüft werden, "ob die hohen Anforderungen des EuGH erfüllt werden". Während der internationale Datenverkehr weiterhin möglich bleibe, seien dabei die Grundrechte der EU-Bürger zu beachten.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE